A Javelin Strategy & Research kutatócég a közelmúltban közzétette a „The State of Strong Authentication 2019” című jelentését. Alkotói információkat gyűjtöttek arról, hogy milyen hitelesítési módszereket alkalmaznak vállalati környezetben és fogyasztói alkalmazásokban, és érdekes következtetéseket vontak le az erős hitelesítés jövőjéről is.
Az első rész fordítása a jelentés készítőinek következtetéseivel, mi . És most bemutatjuk a második részt - adatokkal és grafikonokkal.
A fordítótól
Nem másolom ki teljesen az azonos nevű blokkot az első részből, de egy bekezdést mégis lemásolok.
Minden számot és tényt a legkisebb változtatások nélkül mutatunk be, és ha nem ért egyet velük, akkor jobb, ha nem a fordítóval, hanem a jelentés szerzőivel vitatkozik. És itt vannak az én megjegyzéseim (idézetként kirakva és a szövegben megjelölve olasz) az én értékítéletem, és mindegyiken (valamint a fordítás minőségén) szívesen vitatkozom.
Felhasználói hitelesítés
2017 óta az erős hitelesítés használata a fogyasztói alkalmazásokban meredeken nőtt, nagyrészt a kriptográfiai hitelesítési módszerek mobileszközökön elérhetősége miatt, bár a cégeknek csak valamivel kisebb százaléka használ erős hitelesítést internetes alkalmazásokhoz.
Összességében az erős hitelesítést használó vállalatok aránya megháromszorozódott a 5-es 2017%-ról 16-ra 2018%-ra (3. ábra).
A webalkalmazások erős hitelesítésének lehetősége továbbra is korlátozott (amiatt, hogy néhány böngészőnek csak nagyon új verziói támogatják a kriptográfiai tokenekkel való interakciót, azonban ez a probléma megoldható további szoftverek telepítésével, mint pl. ), ezért sok cég használ alternatív módszereket az online hitelesítéshez, például olyan mobileszközökre szánt programokat, amelyek egyszeri jelszavakat generálnak.
Hardveres kriptográfiai kulcsok (itt csak azokat értjük, amelyek megfelelnek a FIDO szabványoknak), például a Google, a Feitian, a One Span és a Yubico által kínált termékek erős hitelesítésre használhatók anélkül, hogy további szoftvereket kellene telepíteni asztali számítógépekre és laptopokra (mert a legtöbb böngésző már támogatja a FIDO WebAuthn szabványát), de a cégeknek csak 3%-a használja ezt a funkciót felhasználói bejelentkezéshez.
A kriptográfiai tokenek összehasonlítása (pl ) és a FIDO szabványok szerint működő titkos kulcsok túlmutatnak e jelentés keretein, de a hozzá fűzött megjegyzéseim sem. Röviden, mindkét típusú token hasonló algoritmust és működési elvet használ. A FIDO tokeneket jelenleg jobban támogatják a böngészőgyártók, bár ez hamarosan megváltozik, ahogy egyre több böngésző támogatja . A klasszikus kriptográfiai tokenek azonban PIN-kóddal védettek, aláírhatnak elektronikus dokumentumokat, és kéttényezős hitelesítésre használhatók Windows (bármilyen verzió), Linux és Mac OS X rendszerben, API-kkal rendelkeznek különböző programozási nyelvekhez, lehetővé téve a 2FA és az elektronikus megvalósítását. aláírás az asztali, mobil- és webalkalmazásokban, valamint az Oroszországban gyártott tokenek támogatják az orosz GOST algoritmusokat. Mindenesetre a kriptográfiai token, függetlenül attól, hogy milyen szabvány alapján készült, a legmegbízhatóbb és legkényelmesebb hitelesítési módszer.
A biztonságon túl: az erős hitelesítés egyéb előnyei
Nem meglepő, hogy az erős hitelesítés használata szorosan összefügg a vállalkozások által tárolt adatok fontosságával. Az érzékeny személyazonosításra alkalmas adatokat (PII), például társadalombiztosítási számokat vagy személyes egészségügyi adatokat (PHI) tároló vállalatoknak a legnagyobb jogi és szabályozási nyomás nehezedik. Ezek azok a cégek, amelyek az erős hitelesítés legagresszívebb hívei. A vállalkozásokra nehezedő nyomást fokozzák azon ügyfelek elvárásai, akik tudni akarják, hogy a legérzékenyebb adataikkal megbízott szervezetek erős hitelesítési módszereket alkalmazzanak. Az érzékeny személyazonosításra alkalmas adatokat vagy PHI-ket kezelő szervezetek több mint kétszer nagyobb valószínűséggel használnak erős hitelesítést, mint azok a szervezetek, amelyek csak a felhasználók elérhetőségeit tárolják (7. ábra).
Sajnos a cégek még nem hajlandók erős hitelesítési módszereket alkalmazni. Az üzleti döntéshozók közel harmada a jelszavakat tartja a leghatékonyabb hitelesítési módszernek a 9. ábrán felsoroltak közül, és 43%-uk a jelszavakat tartja a legegyszerűbb hitelesítési módszernek.
Ez a diagram bizonyítja számunkra, hogy az üzleti alkalmazások fejlesztői világszerte ugyanazok... Nem látják a fejlett fiókhozzáférési biztonsági mechanizmusok bevezetésének előnyeit, és ugyanazokat a tévhiteket osztják. És csak a szabályozók intézkedései változtathatnak a helyzeten.
Ne nyúljunk a jelszavakhoz. De mit kell hinni ahhoz, hogy elhiggye, hogy a biztonsági kérdések biztonságosabbak, mint a kriptográfiai tokenek? Az egyszerűen kiválasztott ellenőrző kérdések hatékonyságát 15%-ra becsülték, a nem feltörhető tokenek pedig csak 10-re. Legalább nézze meg a „Megtévesztés illúziója” című filmet, ahol bár allegorikus formában, de megmutatja, milyen könnyen a bűvészek minden szükséges dolgot kicsalt az üzletember-csaló válaszokból, és pénz nélkül hagyta.
És még egy tény, amely sokat elmond a felhasználói alkalmazások biztonsági mechanizmusaiért felelős személyek képesítéséről. Megértésük szerint a jelszó megadásának folyamata egyszerűbb művelet, mint a kriptográfiai token segítségével történő hitelesítés. Bár úgy tűnik, hogy egyszerűbb lenne csatlakoztatni a tokent egy USB-porthoz, és megadni egy egyszerű PIN-kódot.
Fontos, hogy az erős hitelesítés bevezetése lehetővé teszi a vállalkozások számára, hogy a csaló rendszerek blokkolásához szükséges hitelesítési módszerekről és működési szabályokról eltérjenek ügyfeleik valós igényeinek kielégítésétől.
Míg a szabályozási megfelelés ésszerű elsődleges prioritás mind az erős hitelesítést alkalmazó, mind a nem használó vállalkozások számára, a már erős hitelesítést alkalmazó vállalatok sokkal valószínűbb, hogy azt mondják, hogy a vásárlói hűség növelése a legfontosabb mérőszám, amelyet figyelembe vesznek a hitelesítés értékelésekor. módszer. (18% vs. 12%) (10. ábra).
Vállalati hitelesítés
2017 óta növekszik az erős hitelesítés bevezetése a vállalatoknál, de valamivel alacsonyabb ütemben, mint a fogyasztói alkalmazások esetében. Az erős hitelesítést használó vállalkozások aránya a 7-es 2017%-ról 12-ra 2018%-ra nőtt. A fogyasztói alkalmazásokkal ellentétben a vállalati környezetben a nem jelszó nélküli hitelesítési módszerek valamivel gyakoribbak a webes alkalmazásokban, mint a mobileszközökön. A vállalkozások körülbelül fele arról számolt be, hogy bejelentkezéskor csak felhasználóneveket és jelszavakat használ felhasználói hitelesítésére, és minden ötödik (22%) kizárólag jelszavakra támaszkodik a másodlagos hitelesítéshez, amikor érzékeny adatokhoz fér hozzá (azaz a felhasználó először egy egyszerűbb hitelesítési módszerrel jelentkezik be az alkalmazásba, és ha kritikus adatokhoz szeretne hozzáférni, akkor újabb hitelesítési eljárást hajt végre, ezúttal általában megbízhatóbb módszerrel.).
Meg kell értenie, hogy a jelentés nem veszi figyelembe a kriptográfiai tokenek használatát a kétfaktoros hitelesítéshez a Windows, Linux és Mac OS X operációs rendszerekben. És jelenleg ez a 2FA legelterjedtebb használata. (Sajnos, a FIDO-szabványok szerint létrehozott tokenek csak Windows 2-hez tudják megvalósítani a 10FA-t).
Ezen túlmenően, ha a 2FA megvalósítása az online és mobil alkalmazásokban egy sor intézkedést igényel, beleértve ezeknek az alkalmazásoknak a módosítását, akkor a 2FA Windows rendszerben történő megvalósításához csak a PKI-t (például a Microsoft Certification Server alapján) és a hitelesítési házirendeket kell konfigurálnia. Kr. u.
És mivel a munkahelyi számítógépre és tartományra való bejelentkezés védelme fontos eleme a vállalati adatok védelmének, egyre elterjedtebb a kétfaktoros hitelesítés megvalósítása.
A felhasználók bejelentkezéskor történő hitelesítésének következő két leggyakoribb módja a külön alkalmazáson keresztül biztosított egyszeri jelszavak (a vállalkozások 13%-a) és az SMS-ben küldött egyszeri jelszavak (12%). Annak ellenére, hogy mindkét módszer felhasználási aránya nagyon hasonló, az OTP SMS-t leggyakrabban (a cégek 24%-ánál) használják a jogosultsági szint emelésére. (12. ábra).
Az erős hitelesítés vállalati használatának növekedése valószínűleg a kriptográfiai hitelesítési megvalósítások nagyobb rendelkezésre állásának tudható be a vállalati identitáskezelési platformokon (más szóval, a vállalati SSO és IAM rendszerek megtanulták használni a tokeneket).
Az alkalmazottak és a vállalkozók mobil hitelesítéséhez a vállalatok nagyobb mértékben támaszkodnak jelszavakra, mint a fogyasztói alkalmazásokban történő hitelesítésre. A vállalkozások valamivel több mint fele (53%) használ jelszavakat, amikor a felhasználók mobileszközön keresztül hitelesítik a vállalati adatokhoz való hozzáférést (13. ábra).
A mobileszközök esetében hinni lehetne a biometrikus adatok hatalmas erejében, ha nem lennének hamis ujjlenyomatok, hangok, arcok, sőt íriszek is. Egy keresőmotor lekérdezése felfedi, hogy a biometrikus hitelesítés megbízható módszere egyszerűen nem létezik. Természetesen léteznek valóban pontos érzékelők, de nagyon drágák és nagy méretűek - és nincsenek okostelefonokba telepítve.
Ezért a mobileszközökben az egyetlen működő 2FA módszer a kriptográfiai tokenek használata, amelyek NFC, Bluetooth és USB Type-C interfészen keresztül csatlakoznak az okostelefonhoz.
A vállalatok pénzügyi adatainak védelme a legfőbb ok a jelszó nélküli hitelesítésbe való befektetésre (44%), 2017 óta a leggyorsabb növekedéssel (nyolc százalékpontos növekedés). Ezt követi a szellemi tulajdon védelme (40%) és a személyzeti (HR) adatok (39%). És világos, hogy miért – nemcsak az ilyen típusú adatokhoz kapcsolódó értéket ismerik el széles körben, de viszonylag kevés alkalmazott dolgozik velük. Vagyis a megvalósítás költségei nem olyan nagyok, és csak néhány embert kell betanítani arra, hogy bonyolultabb hitelesítési rendszerrel dolgozzon. Ezzel szemben azok az adatok és eszközök, amelyekhez a legtöbb vállalati alkalmazott rutinszerűen hozzáfér, továbbra is kizárólag jelszavakkal védettek. Az alkalmazottak dokumentumai, a munkaállomások és a vállalati e-mail portálok jelentik a legnagyobb kockázatot, mivel a vállalkozások mindössze egynegyede védi ezeket az eszközöket jelszó nélküli hitelesítéssel (14. ábra).
Általánosságban elmondható, hogy a vállalati e-mail nagyon veszélyes és kiszivárogtató dolog, amelynek potenciális veszélyének mértékét a legtöbb informatikai igazgató alábecsüli. Az alkalmazottak naponta több tucat e-mailt kapnak, ezért miért ne helyezhetne közéjük legalább egy adathalász (vagyis csalárd) e-mailt. Ez a levél a céges levelek stílusában lesz megformázva, így a munkavállaló jól érzi magát, ha a levélben található hivatkozásra kattint. Nos, akkor bármi megtörténhet, például vírus letöltése a megtámadott gépre vagy jelszavak kiszivárogtatása (beleértve a szociális manipulációt, a támadó által létrehozott hamis hitelesítési űrlap megadásával).
Az ilyen események elkerülése érdekében az e-maileket alá kell írni. Ekkor azonnal kiderül, hogy melyik levelet hozta létre jogos alkalmazott, és melyiket támadó. Az Outlook/Exchange programban például a kriptográfiai token alapú elektronikus aláírások meglehetősen gyorsan és egyszerűen engedélyezhetők, és kétfaktoros hitelesítéssel együtt használhatók számítógépeken és Windows-tartományokon.
A vállalaton belül kizárólag jelszavas hitelesítésre támaszkodó vezetők kétharmada (66%) azért teszi ezt, mert úgy gondolja, hogy a jelszavak kellő biztonságot nyújtanak ahhoz az információtípushoz, amelyet cégüknek meg kell védenie (15. ábra).
De az erős hitelesítési módszerek egyre gyakoribbak. Leginkább annak köszönhető, hogy elérhetőségük növekszik. Egyre több identitás- és hozzáférés-kezelő (IAM) rendszer, böngésző és operációs rendszer támogatja a kriptográfiai tokenek használatával történő hitelesítést.
Az erős hitelesítésnek van egy másik előnye is. Mivel a jelszót már nem használják (egy egyszerű PIN-kód váltja fel), nem érkeznek olyan kérések az alkalmazottaktól, akik az elfelejtett jelszó megváltoztatását kérnék. Ez pedig csökkenti a vállalat informatikai részlegének terhelését.
Eredmények és következtetések
- A vezetők gyakran nem rendelkeznek az értékeléshez szükséges ismeretekkel igazi a különböző hitelesítési lehetőségek hatékonysága. Megszoktak bízni az ilyenekben elavult biztonsági módszerek, például jelszavak és biztonsági kérdések, egyszerűen azért, mert „korábban működött”.
- A felhasználók még mindig rendelkeznek ezzel a tudással Kevésbé, számukra az a fő egyszerűség és kényelem. Mindaddig, amíg nincs késztetésük a választásra biztonságosabb megoldások.
- Egyedi alkalmazások fejlesztői gyakran ok nélküljelszavas hitelesítés helyett kéttényezős hitelesítés megvalósítására. Verseny a felhasználói alkalmazások védelmi szintjében nincs.
- Teljes felelősség a feltörésért átkerült a felhasználóra. Megadta az egyszeri jelszót a támadónak - hibáztatni. A jelszavát elfogták vagy kémkedett - hibáztatni. Nem követelte meg a fejlesztőtől, hogy megbízható hitelesítési módszereket használjon a termékben - hibáztatni.
- jobb szabályozó elsősorban meg kell követelnie a vállalatoktól olyan megoldások megvalósítását Blokk adatszivárgás (különösen kéttényezős hitelesítés), nem pedig büntetés már megtörtént adatszivárgás.
- Egyes szoftverfejlesztők megpróbálják eladni a fogyasztóknak régi és nem különösebben megbízható megoldások gyönyörű csomagolásban "innovatív" termék. Például hitelesítés egy adott okostelefonra való hivatkozással vagy biometrikus adatok használatával. Amint a jelentésből kiderül, szerint igazán megbízható Csak erős hitelesítésen, azaz kriptográfiai tokeneken alapuló megoldás lehet.
- Ugyanaz kriptográfiai token használható számos feladatot: számára erős hitelesítés vállalati operációs rendszerben, vállalati és felhasználói alkalmazásokban, a Elektronikus aláírás pénzügyi tranzakciók (fontos banki alkalmazásokhoz), dokumentumok és e-mailek.
Forrás: will.com